posts - 644, comments - 2675, trackbacks - 144

My Links

News

Raffaele Rialdi website

Su questo sito si trovano i miei articoli, esempi, snippet, tools, etc.

Archives

Post Categories

Image Galleries

Blogs

Links

La pillola delle patch di sicurezza

Leggevo il blog di Feliciano su questo argomento e non posso che essere daccordo con due punti fondamentali:

  • Le patch devono essere installate tutte
  • In certe configurazioni testare le patch prima del deploy è altrettanto dovuto

Cosa direste se un vostro cliente si lamentasse di buchi, falle di sicurezza o problematiche di altro tipo, che voi avete già risolto, e di cui il cliente non solo è stato avvisato ma gli è sufficiente premere un pulsante per rimediare?

Nel caso specifico delle patch di Windows Update la cosa è ancora più paradossale visto che:

  • Nella stragrande maggioranza dei casi le patch sono disponibili molto prima che si configuri un pericolo reale. Già perché chi crea un attacco, lo fa generalmente analizzando le patch che Microsoft mette a disposizione e non disassemblando centinaia di milioni di righe di codice del sistema operativo.
  • Configurando gli update in modo completamente automatico il pulsante non è neppure da premere ma fa tutto da solo
  • Periodicamente viene anche fatta una scansione per la ricerca del malware

Unico neo: la copia di Windows deve essere originale ... già perché c'è ancora qualcuno che non ha capito che Genuine Advantage è un controllo per la genuinità di Windows e se Windows Update non scarica le patch non è un bug  ma perché il software è piratato.... e questa non è una barzelletta.

Infine non c'è nulla di irreversibile visto che il rollback delle patch installate è possibile.

Alla fine dei conti per noi che scriviamo software è fondamentale avere una configurazione di un PC che sia in uno stato noto e stabile. Quindi la questione delle patch ci tocca molto da vicino...

Print | posted on giovedì 1 febbraio 2007 15.15 |

Feedback

Gravatar

# re: La pillola delle patch di sicurezza

Pensa che in giro trovo gente che in una intranet non solo non installano sul server WSUS per distribuire in modo 'consapevole' le patch e fin li, pazienza, ma che disbilitano deliberatamente gli aggiornamenti automatici motivandola con "tanto in rete locale non serve, cè il firewall' eccetera eccetera...
01/02/2007 18.45 | Alessandro Scardova

Post Comment

Title  
Name  
Email
Url
Comment   
Please add 7 and 3 and type the answer here:

Powered by: